Sorunsuz bir şekilde kullanıcılarınızın kaydolmalarına, giriş yapmalarına ve hesap bilgilerini yönetmelerine yardımcı olun.
Kullanıcıların sitenize giriş yapması gerekirse iyi bir kayıt formu tasarımı çok önemlidir. Bu durum özellikle zayıf bağlantısı olan, mobil cihaz kullanan, acelesi veya stres altındaki kişiler için geçerlidir. Kötü tasarlanmış kayıt formlarında hemen çıkma oranları yüksektir. Her hemen çıkma, yalnızca bir kayıt fırsatının kaçırılması değil, kaybedilmiş ve rahatsız olmuş bir kullanıcının anlamına gelebilir.
Aşağıda, en iyi uygulamaların tümünü gösteren çok basit bir kayıt formu örneği verilmiştir:
Yapılacaklar listesi
- Mümkünse oturum açmaktan kaçının.
- Nasıl hesap oluşturulacağını açıkça belirtin.
- Hesap ayrıntılarına nasıl erişileceğini açıkça belirtin.
- Form dağınıklığını azaltma.
- Oturum uzunluğunu göz önünde bulundurun.
- Şifre yöneticilerinin şifreleri güvenli bir şekilde önermesine ve depolamasına yardımcı olun.
- Güvenliği ihlal edilmiş şifrelere izin vermeyin.
- Şifre yapıştırmaya izin ver.
- Şifreleri hiçbir zaman düz metin içinde saklamayın veya iletmeyin.
- Şifre güncellemelerini zorunlu kılma.
- Şifre değiştirmeyi veya sıfırlamayı kolaylaştırın.
- Birleşik girişi etkinleştir.
- Hesap geçişini kolaylaştırın.
- Çok öğeli kimlik doğrulaması sunmayı düşünün.
- Kullanıcı adları konusunda dikkatli olun.
- Hem sahada hem de laboratuvarda test yapın.
- Çeşitli tarayıcı, cihaz ve platformlarda test edin.
Mümkünse oturum açmaktan kaçının
Bir kayıt formu uygulamadan ve kullanıcılardan sitenizde bir hesap oluşturmalarını istemeden önce, gerçekten buna ihtiyacınız olup olmadığını düşünün. Mümkün olduğunda, giriş kapısı arkasında gizli özellikler eklemekten kaçınmalısınız.
En iyi kayıt formu, kayıt formu olmamasıdır!
Kullanıcıdan hesap oluşturmasını isteyerek, o kullanıcının neyi başarmaya çalıştığının ortasında olursunuz. Bir iyilik yapıyor ve kullanıcıdan kişisel verileri konusunda size güvenmesini istiyorsunuz. Sakladığınız her şifre ve veri öğesi, gizlilik ve güvenlikle ilgili bir "veri borcu" taşır ve siteniz için bir maliyet ve sorumluluk haline gelir.
Kullanıcılardan hesap oluşturmalarını istemenizin asıl nedeni gezinme veya tarama oturumları arasında bilgi kaydetmekse bunun yerine istemci tarafı depolama kullanmayı düşünün. Alışveriş sitelerinde, kullanıcıları satın alma işlemi yapmak için hesap oluşturmaya zorlamanın, alışveriş sepetini terk etmelerinin başlıca nedenlerinden biri olduğu gösterilmektedir. Giriş yapmadan öde seçeneğini varsayılan olarak ayarlamanız gerekir.
Oturum açmayı açıkça gösterin
Sitenizde nasıl hesap oluşturacağınızı (örneğin, sayfanın sağ üst kısmındaki Giriş veya Oturum aç düğmesiyle) açıkça belirtin. Belirsiz bir simge veya muğlak ifadeler kullanmaktan kaçının ("Arabaya binin!", "Bize katılın") ve gezinme menüsünde girişi gizlemeyin. Kullanılabilirlik uzmanı Steve Krug web sitesi kullanılabilirliğine yaklaşımı şu şekilde özetledi: Beni düşünmeye zorlama! Web ekibinizdeki diğer kişileri ikna etmeniz gerekiyorsa farklı seçeneklerin etkisini göstermek için analizleri kullanın.
Hem Google gibi bir kimlik sağlayıcı üzerinden kaydolan hem de e-posta ve şifreyle kaydolan kullanıcıların hesaplarını bağladığınızdan emin olun. Kimlik sağlayıcıdaki profil verilerinden kullanıcının e-posta adresine erişebiliyor ve iki hesabı eşleştirebiliyorsanız bunu yapmak kolaydır. Aşağıdaki kod, Google ile Oturum Açma kullanıcısının e-posta verilerine nasıl erişeceğinizi göstermektedir.
// auth2 is initialized with gapi.auth2.init()
if (auth2.isSignedIn.get()) {
var profile = auth2.currentUser.get().getBasicProfile();
console.log(`Email: ${profile.getEmail()}`);
}
Hesap ayrıntılarına nasıl erişileceğini açıkça belirtin
Kullanıcı oturum açtıktan sonra, hesap ayrıntılarına nasıl erişileceğini açıkça belirtin. Özellikle, şifrelerin nasıl değiştirileceğini veya sıfırlanacağını açıkça belirtin.
Form dağınıklığını kesme
Kayıt akışında göreviniz, karmaşıklığı en aza indirmek ve kullanıcının odaklanmasını sağlamaktır. Karmaşadan kurtulun. Şu an dikkat dağınıklıklarının ve cazibelerin zamanı değil.
Kayıt sırasında mümkün olduğunca az istekte bulunun. Ek kullanıcı verilerini (ör. ad ve adres) yalnızca ihtiyaç duyduğunuzda ve kullanıcı bu verileri sağlamanın açık bir faydasını gördüğünde toplayın. İlettiğiniz ve depoladığınız her veri öğesinin maliyet ve yükümlülük doğurduğunu unutmayın.
Kullanıcıların iletişim bilgilerini doğru öğrendiğinden emin olmak için çok fazla giriş yapmayın. Bu, formun doldurulmasını yavaşlatır ve form alanları otomatik olarak doldurulduğunda bir anlam ifade etmez. Bunun yerine, iletişim bilgilerini girdikten sonra kullanıcıya bir onay kodu gönderin ve yanıt verdikten sonra hesap oluşturma işlemine devam edin. Bu, kullanıcıların alışkın olduğu kayıt modelidir.
Kullanıcılara, yeni bir cihazda veya tarayıcıda her oturum açtıklarında bir kod göndererek şifre kullanmadan oturum açmayı düşünebilirsiniz. Slack ve Medium gibi siteler bunun bir sürümünü kullanır.
Birleşik girişte olduğu gibi bu özellik de kullanıcı şifrelerini yönetmek zorunda kalmama gibi bir ek avantaj sağlar.
Oturum uzunluğunu göz önünde bulundurun
Kullanıcı kimliğine yaklaşımınız ne olursa olsun, oturum süresiyle (kullanıcının ne kadar süreyle oturum açık kalacağı ve oturumu kapatmanıza neden olabilecek faktörler) ilgili dikkatli bir karar vermeniz gerekir.
Kullanıcılarınızın mobil mi masaüstü mü yoksa masaüstü bilgisayar mı kullandığını göz önünde bulundurun.
Şifre yöneticilerinin, şifreleri güvenli bir şekilde önermesine ve depolamasına yardımcı olun
Kullanıcıların şifreleri kendilerinin seçmesine, hatırlamasına veya yazmasına gerek kalmaması için üçüncü taraf ve yerleşik tarayıcı şifre yöneticilerinin şifre önermesine ve depolamasına yardımcı olabilirsiniz. Şifre yöneticileri, hesapları cihazlar arasında, platforma özel uygulamalar ile web uygulamaları arasında ve yeni cihazlarda senkronize ederek modern tarayıcılarda sorunsuz çalışır.
Bu, kayıt formlarını doğru bir şekilde kodlamayı, özellikle de doğru otomatik tamamlama değerlerini kullanmayı son derece önemli hale getirir. Kayıt formlarında yeni şifreler için autocomplete="new-password"
kullanın ve mümkün olduğunda diğer form alanlarına (ör. autocomplete="email"
ve autocomplete="tel"
) doğru otomatik tamamlama değerleri ekleyin. form
öğesinin yanı sıra input
, select
ve textarea
öğeleri için kayıt ve oturum açma formlarında farklı name
ve id
değerleri kullanarak da şifre yöneticilerine yardımcı olabilirsiniz.
Ayrıca mobil cihazlarda doğru klavyeyi sağlamak ve tarayıcı tarafından temel yerleşik doğrulamayı etkinleştirmek için uygun type
özelliğini kullanmanız gerekir.
Daha fazla bilgi için Ödeme ve adres formu en iyi uygulamaları başlıklı makaleyi inceleyin.
Kullanıcıların güvenli şifreler girdiğinden emin olma
Şifre yöneticilerinin şifre önermesini etkinleştirmek en iyi seçenektir. Kullanıcıları, tarayıcılar ve üçüncü taraf tarayıcı yöneticileri tarafından önerilen güçlü şifreleri kabul etmeye teşvik etmelisiniz.
Ancak, birçok kullanıcı kendi şifrelerini girmek ister. Bu nedenle, şifre gücü kuralları uygulamanız gerekir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü, güvenli olmayan şifrelerin nasıl önleneceğini açıklar.
Güvenliği ihlal edilmiş şifrelere izin verme
Şifreler için hangi kuralı seçerseniz seçin, güvenlik ihlallerinde açığa çıkan şifrelere asla izin vermemelisiniz.
Kullanıcı bir şifre girdikten sonra, bunun zaten güvenliği ihlal edilmiş bir şifre olup olmadığını kontrol etmeniz gerekir. Şifre kontrolü için Sahip Oldum sitesi bir API sağlar veya bu API'yi kendiniz bir hizmet olarak çalıştırabilirsiniz.
Google'ın Şifre Yöneticisi, mevcut şifrelerinizden herhangi birinin güvenliğinin ihlal edilip edilmediğini kontrol etmenize de olanak tanır.
Bir kullanıcının önerdiği şifreyi reddederseniz, özellikle de bu şifrenin neden reddedildiğini açıklayın. Sorunları satır içinde gösterin ve nasıl düzeltileceğini açıklayın. Kullanıcı bir değer girdikten sonra, kayıt formunu gönderdikten ve sunucunuzdan yanıt almak zorunda kaldığı anda bu işlemi açıklayın.
Şifre yapıştırmayı engelleme
Bazı siteler şifre girişlerine metin yapıştırılmasına izin vermez.
Şifre yapıştırmaya izin verilmemesi kullanıcıları rahatsız eder, akılda kalıcı (ve bu nedenle güvenlik ihlalinin daha kolay olabileceği) şifreleri teşvik eder ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi gibi kuruluşlara göre aslında güvenliği azaltabilir. Kullanıcılar yalnızca şifrelerini yapıştırmayı denedikten sonra yapıştırmanın yasaklandığını fark ederler. Bu nedenle, şifre yapıştırmaya izin verilmemesi panodaki güvenlik açıklarını önlemez.
Şifreleri hiçbir zaman düz metin içinde saklamayın veya iletmeyin
Şifreleri tartıp karma haline getirdiğinizden emin olun ve kendi karma oluşturma algoritmanızı icat etmeye çalışmayın.
Şifre güncellemelerini zorunlu kılma
Kullanıcıları, şifrelerini rastgele güncellemeye zorlamayın.
Şifre güncellemesini zorunlu kılmak BT bölümleri için maliyetli olabilir, kullanıcıları rahatsız edebilir ve güvenlik üzerinde fazla etkisi olmaz. Ayrıca, kullanıcıları güvenli olmayan ve akılda kalıcı şifreler kullanmaya veya şifrelerin fiziksel kaydını tutmaya teşvik edebilir.
Şifre güncellemelerini zorunlu kılmak yerine olağan dışı hesap etkinliğini izlemeniz ve kullanıcıları uyarmanız gerekir. Mümkünse veri ihlalleri nedeniyle güvenliği ihlal edilen şifreleri de kontrol etmelisiniz.
Ayrıca kullanıcılarınıza, giriş işleminin nerede ve ne zaman yapıldığını göstererek hesap giriş geçmişlerine erişim vermelisiniz.
Şifre değiştirmeyi veya sıfırlamayı kolaylaştırın
Kullanıcılara hesap şifrelerini nereden ve nasıl güncelleyeceklerini açıkça belirtin. Bazı sitelerde bu şaşırtıcı bir şekilde zordur.
Elbette, kullanıcılarınızın şifrelerini unutmaları halinde sıfırlamalarını da kolaylaştırmalısınız. Open Web Application Security Project, kaybolan şifrelerin nasıl ele alınacağı konusunda ayrıntılı rehberlik sağlar.
İşletmenizin ve kullanıcılarınızın güvenliğini sağlamak için, güvenliğinin ihlal edildiğini fark eden kullanıcılara şifrelerini değiştirmeleri konusunda yardımcı olmanız özellikle önemlidir. Bu işlemi kolaylaştırmak için sitenize, şifre yönetimi sayfanıza yönlendiren bir /.well-known/change-password
URL'si eklemeniz gerekir. Böylece şifre yöneticileri, kullanıcılarınızı doğrudan sitenizin şifrelerini değiştirebilecekleri sayfaya yönlendirebilir. Bu özellik şu anda Safari'de ve Chrome'da uygulanmakta ve diğer tarayıcılarda da kullanılabilecek. Şifre değiştirmeyle ilgili iyi bilinen bir URL ekleyerek kullanıcıların şifrelerini kolayca değiştirmelerine yardımcı olun bölümünde bunun nasıl uygulanacağı açıklanmıştır.
Ayrıca, isteyen kullanıcıların hesaplarını silmelerini de kolaylaştırmalısınız.
Üçüncü taraf kimlik sağlayıcıları aracılığıyla giriş imkanı sunma
Birçok kullanıcı, web sitelerine e-posta adresi ve şifre kayıt formu kullanarak giriş yapmayı tercih eder. Ancak kullanıcıların, birleşik giriş olarak da bilinen üçüncü taraf bir kimlik sağlayıcı aracılığıyla giriş yapabilmesini de sağlamalısınız.
Bu yaklaşımın birçok avantajı vardır. Birleşik giriş kullanarak hesap oluşturan kullanıcılar için şifre istemelerine, iletmelerine veya depolamalarına gerek yoktur.
Ayrıca, e-posta adresi gibi birleşik girişlerden diğer doğrulanmış profil bilgilerine de erişebilirsiniz. Bu, kullanıcının bu verileri girmesine gerek olmadığı ve doğrulamayı sizin yapmanızın gerekmediği anlamına gelir. Ayrıca birleşik giriş, yeni bir cihaz alan kullanıcıların işini çok kolaylaştırabilir.
Google ile Oturum Açma'yı web uygulamanıza entegre etme sayfasında, kayıt seçeneklerinize birleşik giriş bilgilerini nasıl ekleyeceğiniz açıklanmıştır. Diğer kimlik platformları da mevcuttur.
Hesap geçişini kolaylaştırın
Birçok kullanıcı cihazlarını paylaşır ve aynı tarayıcıyı kullanarak hesaplar arasında geçiş yapar. Kullanıcılar birleşik girişe erişmiş olsun veya olmasın, hesap geçişini basitleştirmeniz gerekir.
Çok öğeli kimlik doğrulaması sunmayı düşünün
Çok öğeli kimlik doğrulaması, kullanıcıların birden fazla yöntemle kimlik doğrulaması yapmasının sağlanması anlamına gelir. Örneğin, kullanıcının şifre belirlemesini istemenin yanı sıra e-posta veya SMS ile gönderilen tek seferlik bir şifre kodunu ya da uygulama tabanlı tek kullanımlık bir kod, güvenlik anahtarı veya parmak izi sensörü kullanarak da doğrulamayı zorunlu kılabilirsiniz. SMS OTP en iyi uygulamaları ve WebAuthn ile Güçlü Kimlik Doğrulamasını Etkinleştirme, çok öğeli kimlik doğrulamasının nasıl uygulanacağını açıklar.
Siteniz kişisel veya hassas bilgileri işliyorsa çok öğeli kimlik doğrulamasını mutlaka sunmalısınız (veya zorunlu kılmanız) gerekir.
Kullanıcı adlarına dikkat etme
İhtiyaç duymadığınız (veya olmadığı sürece) bir kullanıcı adı için ısrar etmeyin. Kullanıcıların yalnızca bir e-posta adresi (veya telefon numarası) ve şifreyle (ya da tercihlerine göre birleşik giriş bilgileri) kaydolmasını ve oturum açmasını sağlayın. Kullanıcı adınızı seçmeye ve hatırlamaya zorlamayın.
Siteniz kullanıcı adları gerektiriyorsa bunlara makul olmayan kurallar uygulamayın ve kullanıcıların kullanıcı adlarını güncellemelerine engel olmayın. Arka ucunuzda, kullanıcı adı gibi kişisel verilere dayalı bir tanımlayıcı değil, her kullanıcı hesabı için benzersiz bir kimlik oluşturmanız gerekir.
Ayrıca, kullanıcı adları için autocomplete="username"
kullandığınızdan emin olun.
Çeşitli cihaz, platform, tarayıcı ve sürümlerde test edin
Kullanıcılarınızın en çok tercih ettiği platformlarda kayıt formlarını test edin. Form öğesinin işlevi değişiklik gösterebilir ve görüntü alanı boyutundaki farklılıklar düzen sorunlarına neden olabilir. BrowserStack, çeşitli cihaz ve tarayıcılarda açık kaynak projeler için ücretsiz test yapılmasını sağlar.
Analizleri ve Gerçek Kullanıcı İzlemeyi uygulayın
Kullanıcıların kayıt formlarınızla ilgili deneyimlerini anlamak için alan verilerinin yanı sıra laboratuvar verilerinin de olması gerekir. Analytics ve Gerçek Kullanıcı İzleme (RUM), kayıt sayfalarının ne kadar sürede yüklendiği, kullanıcıların hangi kullanıcı arayüzü bileşenleriyle etkileşimde bulunduğu (veya etkileşim kurmadığı) ve kullanıcıların kaydolma işlemini ne kadar sürdüğü gibi kullanıcılarınızın gerçek deneyimleriyle ilgili veriler sağlar.
- Sayfa analizi: Kayıt akışınızdaki her sayfa için sayfa görüntüleme sayısı, hemen çıkma oranları ve çıkışlar.
- Etkileşim analizi: hedef dönüşüm hunileri ve etkinlikler, kullanıcıların kayıt akışından nerede ayrıldığını ve kullanıcıların ne kadarının kayıt sayfalarınızdaki düğmeleri, bağlantıları ve diğer bileşenleri tıkladığını gösterir.
- Web sitesi performansı: Kullanıcı odaklı metrikler, kayıt akışınızın yavaş mı yoksa görsel olarak kararsız mı olduğunu size bildirebilir.
Küçük değişiklikler kayıt formlarının tamamlanma oranlarında büyük fark yaratabilir. Analytics ve RUM, değişiklikleri optimize edip öncelik sırasına koymanızı ve sitenizi yerel testlerin ortaya çıkardığı sorunlar için izlemenizi sağlar.
Öğrenmeye devam edin
- Oturum açma formuyla ilgili en iyi uygulamalar
- Ödeme ve adres formuyla ilgili en iyi uygulamalar
- Mükemmel Formlar Oluşturun
- Mobil Form Tasarımı için En İyi Uygulamalar
- Daha yetenekli form denetimleri
- Erişilebilir Formlar Oluşturma
- Credential Management API'yi Kullanarak Kayıt Akışını Kolaylaştırma
- WebOTP API ile telefon numaralarını web'de doğrulama
Fotoğraf, @ecowarriorprincess tarafından Unsplash'ta.